Apie nuosavą saugumo operacijų centrą (SOC) arba jo paslaugas galvoja dauguma „Blue Bridge“ giluminiame tyrime dalyvavusių Lietuvos įmonių. „Pradedama pastebėti, kad plataus saugumo sprendimų arsenalo neužtenka, jei apie incidentus norima sužinoti kuo greičiau, o ne po trijų dienų, mėnesio ar pusmečio kaip dabar“, – apie tai, kodėl kyla susidomėjimas SOC galimybėmis sako „Blue Bridge“ Saugumo operacijų centro vadovas Povilas Kaminskas.
Ekspertas pasidalija „Blue Bridge“ atlikto tyrimo rezultatais ir papasakoja, kaip įmonės mato SOC ateitį savo organizacijoje ir kokių lūkesčių turi SOC paslaugoms.
Paslaugos gali keliasdešimt kartų sumažinti SOC kaštus
Siekiant greitesnės reakcijos į saugumo incidentus ir savalaikį jų užkardymą, reikia nuolat analizuoti saugumo sprendimų siunčiamą informaciją ir stebėti IT infrastruktūrą. Tai pagrindinė priežastis, kodėl SOC ir jo funkcijos sulaukia vis daugiau dėmesio Lietuvoje.
Pernai „Blue Bridge“ atliko tyrimą, kuris parodė, jog nustačiusi SOC poreikį, įmonės dažniausiai įvertina ir finansinę šio klausimo pusę. „Kuo mažesnė įmonė, tuo pigesnės SOC paslaugos. Šis faktas mažesnėms ir vidutinio dydžio įmonėms padeda apsispręsti ir ieškoti SOC paslaugų, o ne diegtis šį darinį savo organizacijoje. Bendrovės, kurios galėtų sau leisti nuosavą SOC, skaičiuoja kiek kitaip. Formulė tokia: skaičiuojamas pagrindinio SOC įrankio – SIEM (saugumo informacijos ir įvykių valdymo sprendimo) diegimas ir du etatai saugumo analitikams. Kai kurios įmonės bando skaičiuoti tik vieną etatą, bet reikalingų investicijų suma nenudžiugina ir tokiu atveju“, – pastebi pašnekovas ir priduria, kad SOC vis dėlto neapsiriboja tik SIEM – paslaugos teikimui naudojami bent keli skirtingi įrankiai, o efektyviam centro darbui reikia bent 10-15 skirtingų organizacinių gebėjimų.
Pasirinkus tik SIEM, šio sprendimo įdiegimas gali kainuoti nuo 40 tūkst. iki 300 tūkst. eurų. „Palyginimui – SIEM paslaugų kaina, jas įsigyjant iš tiekėjo, gali prasidėti nuo kelių šimtų eurų per mėnesį.
Visgi pasirinkus tik SIEM, šio sprendimo įdiegimas gali kainuoti nuo 40 tūkst. iki 300 tūkst. eurų. „Palyginimui – SIEM paslaugų kaina, jas įsigyjant iš tiekėjo, gali prasidėti nuo kelių šimtų eurų per mėnesį. Toks įspūdingas kainos sumažinamas įmanomas dėl masto ekonomijos – vienas SIEM aptarnauja kelis ar keliasdešimt klientų. Tiesa, tai tik preliminarus SIEM kaštų vertinimas. Tiksli SIEM paslaugų kaina priklauso nuo įmonės infrastruktūros dydžio ir generuojamų įvykių per sekundę (angl. Events Per Second)“, – patikslina P. Kaminskas.
Kita problema, su kuria susiduria svarstantieji apie nuosavo SOC kūrimą – tai kompetentingų darbuotojų trūkumas. „Specialistų etatų kaina – ne vienintelis iššūkis. Taip pat galvosūkis yra ir jų motyvacijos išlaikymas. Paprastai SOC dirba trijų lygių specialistai. Vieni incidentus aptinka, kiti – juos sprendžia, o aukščiausios grandies analitikai atlieka incidentų analizę. Statistika rodo, kad net bazinio lygmens specialistas vienoje vietoje išdirba tik 2 metus. Todėl, net turint resursų, nuosavo SOC tęstinumo užtikrinimas gali būti sudėtingas. Reta įmonė savo vidiniams specialistams gali pasiūlyti galimybę pereiti į aukščiausią lygį. Kitaip tariant, realizuoti natūralią darbuotojų rotaciją. Kita vertus, SOC paslaugų tiekėjas jungia ne du ir ne tris specialistus, o kur kas daugiau. Tokiu būdu gali nuolat ugdyti naujus darbuotojus, o jau „paaugusiems“ – suteikti karjeros galimybes“, – apie tai, kas didesnes įmones paskatina susidomėti SOC paslaugomis, pasakoja P. Kaminskas.
Vieni nori greičio ir paprastumo, kiti planuoja mokytis nuo nulio
Išsamiau nagrinėjant tyrime dalyvavusiųjų atsakymus, išryškėjo trys grupės. Jos skirtingai mato SOC ateitį savo organizacijoje. „Pirmoji grupė – tai įmonės, kurios ieško pilnaverčių SOC paslaugų. Tokios įmonės nenori papildomai investuoti nei į nuosavus įrankius, nei į žmones. Antroji grupė – įmonės, kurios nori turėti nuosavus centro įrankius. Taip tikimasi sumažinti riziką, kad pakeitus tiekėją, reikės vėl iš pradžių pradėti porą metų derintą įrankių konfigūraciją. Galiausiai, trečioji klientų grupė neatsisako minties kurti nuosavą SOC. Ši grupė bendradarbiavimą su tiekėju mato kaip galimybę auginti darbuotojų kompetencijas, ateityje atsisakyti paslaugų ir vystyti savo SOC“, – komentuoja P. Kaminskas.
Svarbiausias reikalavimas yra tobulinti infrastruktūros saugumą ir gauti rekomendacijas.
Įdomu tai, kad aiškius reikalavimus SOC paslaugoms turi visos grupės, nepriklausomai nuo to, ar ateityje jos norėtų kurti nuosavą SOC, ar ne. „Svarbiausias reikalavimas yra tobulinti infrastruktūros saugumą ir gauti rekomendacijas. Daugelis puikiai supranta, kad šią ilgalaikę vertę kuriančią paslaugą gali pasiūlyti tik tiekėjas, kuris turi žinių ne tik saugumo operacijų, bet ir kibernetinio saugumo bei saugumo sprendimų tiekimo srityse“, – pasakoja „Blue Bridge“ Saugumo operacijų centro vadovas.
Lūkesčių taip pat turi jau gaunantieji saugumo operacijų centro paslaugas
Tarp kitų naudų, kurias tikimasi gauti kartu su SOC paslaugomis, yra retų kompetencijų nuoma. Taip pat – greita reakcija, jeigu organizacija patiria saugumo incidentą.
Kaip pasakoja P. Kaminskas, „Blue Bridge“ tyrimas parodė, kad organizacijos, kurios perka SOC paslaugas, kartais sužino apie incidentą tik po trijų dienų ir įvardija, kad toks terminas joms nėra priimtinas. Jos norėtų apie incidentus sužinoti realiu laiku, kad įsilaužimai ir įsibrovimai būtų sustabdyti kuo greičiau.
Kai kas iš respondentų taip pat atkreipė dėmesį, kad jiems atrodo patraukli galimybė patikėti centro įrankių diegimą ir priežiūrą tiekėjui, nes tokiu atveju nebereikia savarankiškai diegti šių įrankių ir rūpintis papildomais IT resursais.
Didžiausia vertė gaunama pavertus saugumą visų IT darbų dalimi
„Blue Bridge“ tyrimo respondentų pateiktas įžvalgas apie pageidaujamas SOC vertes, Povilas Kaminskas papildo tiekėjo perspektyva. „Šioje vietoje norisi atkreipti dėmesį į IT saugumą kaip visumą. Tai reiškia, kad SOC nauda bus didesnė, jei centras bus integruotas su kitomis paslaugomis. Pavyzdžiui, viešosios debesijos, duomenų bazių, tinklo, rezervinio kopijavimo sprendimų ir kitų infrastruktūros komponentų priežiūra. Tokia integracija paverčia saugumą visų IT projektų ir darbų dalimi. Jeigu bent dalis tokių paslaugų jau perkama iš tiekėjo, jis gali pasiūlyti daug efektyvesnes SOC paslaugas. Pirmiausia dėl to, kad pačiam klientui reikės kur kas mažiau įsitraukti – jis iš esmės gaus tik ataskaitas apie išspręstus incidentus. Tokiu būdu, padedamas tiekėjo, klientas galės pasirūpinti visos organizacijos saugumu paprasčiau ir greičiau, neinvestuodamas papildomo laiko“, – pasakoja pašnekovas ir priduria, kad SOC ir kitų paslaugų integracija apčiuopiamai sumažina įvairias saugumo rizikas. Tačiau net toks apjungimas negali garantuoji absoliutaus saugumo.
SOC nauda bus didesnė, jei centras bus integruotas su kitomis paslaugomis. Pavyzdžiui, viešosios debesijos, duomenų bazių, tinklo, rezervinio kopijavimo sprendimų ir kitų infrastruktūros komponentų priežiūra.
„Svarbu nepamiršti, kad saugume negali būti 100 proc. garantijos. Panašiai, kaip antivirusinės programos gamintojas nėra atsakingas už virusais užkrėstus savo klientų kompiuterius, SOC tiekėjas negali užtikrinti, kad įsilaužimų išvis nebus. Beje, būtent tokių lūkesčių neslėpė dalis tyrime dalyvavusių įmonių. Tačiau saugumas yra daugiasluoksnis reiškinys ir SOC nėra panacėja. Šis centras yra tik vienas iš būdų sumažinti tokias saugumo rizikas kaip eilinių ir privilegijuotų naudotojų paskyrų „nulaužimas“, nelojalių darbuotojų vykdomos duomenų vagystės, kenksmingo kodo atakos, ilgalaikis įsitvirtinimas IT infrastruktūroje ir t. t.“, – teigia „Blue Bridge“ Saugumo operacijų centro vadovas Povilas Kaminskas.
Sužinokite daugiau apie „Blue Bridge“ SOC paslaugas >>
Arba parašykite mums!
